OpenClaw創始者の返信で脆弱性が確認され、360セキュリティクラウドチームは、OpenClawエコシステムの脆弱性発掘と修復支援を引き続き追跡していきます。

新浪科技によると、3月22日午後、360セキュリティクラウドチームはOpenClaw創設者のPeterから公式メールを受け取りました。返信の中で、Peterは360チームが独自に発見したOpenClaw Gateway WebSocketの無認証アップグレード脆弱性を正式に確認しました。現在、360はこの高危険度の脆弱性を国家情報安全脆弱性共有プラットフォーム（CNVD）に報告し、全ネットワークでリスク源を迅速に遮断する支援を行っています。

今回確認されたWebSocketの無認証アップグレード脆弱性はゼロデイ（0Day）脆弱性に属し、攻撃者はこの脆弱性を利用してWebSocketを静かに迂回し、権限認証を突破し、インテリジェントゲートウェイの制御権を取得することが可能です。その結果、ターゲットシステムのリソース枯渇や全面的なクラッシュを引き起こす恐れがあります。

この脆弱性はまた、業界に対して再び警鐘を鳴らしています。インテリジェントエージェントが「対話ツール」から「実行システム」へと進化するにつれ、そのセキュリティリスクはモデル層からインターフェース層、スキル呼び出しチェーン、システム権限層へと急速に拡大しています。公開インターフェースの露出、悪意あるスキルの注入、プロンプトのインジェクション、行動の監査機能の欠如などが、業界全体の「養殖」過程における共通の潜在的危険となっています。360グループ創設者の周鸿祎氏が以前提唱したように、インテリジェントエージェント時代には「模倣による制御」を堅持し、安全能力を通じてインテリジェントエージェントの運用全過程を制約・監視する必要があります。

これらのリスクを踏まえ、360は「AIでAIを監督し、スキルでスキルを管理する」というコア戦略を確立し、企業や開発者向けにインテリジェントエージェントの展開安全性検査とリスク排除能力（通称「360セキュリティクラウド・ロブスター保」）を提供しています。これにより、運用環境の露出面や高危険度脆弱性、悪意あるスキルの導入リスクを正確に識別します。同時に、360は個人ユーザー向けの統合ソリューション「360セキュリティロブスター」およびその内蔵コンポーネント「360ロブスターガーディアン」もリリースし、隔離された運用環境と厳格な権限管理メカニズムを通じて、インテリジェントエージェントのローカル使用時のセキュリティ不確実性を大幅に低減しています。

360セキュリティクラウドチームは、今後もOpenClawエコシステムの脆弱性発見と修復支援を継続し、インテリジェントエージェントアプリケーションの実戦的な防御を推進していくと述べています。